Patch Tuesday: Microsoft załatał krytyczną podatność w MSHTML

Patch Tuesday: Microsoft załatał krytyczną podatność w MSHTML

Autor: Krzysztof Sulikowski

Opublikowano: 9/15/2021, 3:30 PM

Liczba odsłon: 1904

Na początku miesiąca zrobiło się głośno o poważnej podatności we wszystkich wersjach Windows. Luka znajduje się w MSHTML, który może być użyty do tworzenia złośliwych dokumentów Office i umożliwia zdalne wykonanie kodu na komputerze ofiary. Spodziewaliśmy się, że poprawka nadejdzie we wrześniowy Patch Tuesday. I chociaż na liście zmian w aktualizacji Windows 10 jej nie odnotowano, to łatka faktycznie została wydana.

Przez kilka ostatnich tygodni firmy musiały zachować szczególną ostrożność z powodu łatwo exploitowanej podatności zero-day w MSHTML, silniku renderowania Internet Explorera, który służy też do renderowania zawartości webowej w dokumentach Office. Luka była aktywnie wykorzystywana przez cyberprzestępców w kampaniach phishingowych, których cel stanowiły sieci firmowe. Jak opisuje to Microsoft w CVE-2021-40444:

Atakujący mógł spreparować złośliwą kontrolkę ActiveX, by została użyta w dokumencie Microsoft Office, który hostuje silnik renderowania przeglądarki. Atakujący następnie musiał przekonać użytkownika do otwarcia złośliwego dokumentu. Użytkownicy, których konta są skonfigurowane z mniejszymi uprawnieniami, mogą być mniej podatni od użytkowników, którzy korzystają z uprawnień administratora.

Luka otrzymała ocenę 8.8/10 w kategorii severity, co oznacza, że jest w dużym stopniu groźna, a hakerzy mogli z łatwością ominąć dotychczasowe zabezpieczenia. Łatka została wydana wczoraj, w drugi wtorek miesiąca, zgodnie z ideą Patch Tuesday. Microsoft Defender Antivirus oraz Microsoft Defender for Endpoint zapewniają wykrywanie i ochronę przed tą znaną podatnością, dlatego warto pamiętać o ich aktualizowaniu. Poza ustawieniem automatycznych aktualizacji od użytkowników nie są wymagane żadne dodatkowe działania.

Klienci korporacyjni, którzy zarządzają aktualizacjami, powinni wybrać build wykrywania 1.349.22.0 lub nowszy i wdrożyć go w swoich środowiskach. Alerty programu Microsoft Defender for Endpoint będą wyświetlane jako "Suspicious Cpl File Execution".